Kripto Borsalarında Kimlik Doğrulama ve Ölçülülük: 2023/570 Sayılı Karar Analizi
Dijital varlık piyasalarının hızla büyümesi, bu platformlardaki güvenlik ve kimlik doğrulama süreçlerini de KVKK gündemine taşımıştır. Kişisel Verileri Koruma Kurulu, 11/04/2023 tarihli ve 2023/570 sayılı kararı ile bir kripto varlık hizmet sağlayıcısının, kullanıcılarından “üyelik seviyesi artırımı” için talep ettiği detaylı belgelerin (selfie+kimlik+tarihli kağıt) hukuka uygunluğunu incelemiştir.
Şikayetin Konusu: “Gereğinden Fazla Veri mi Toplanıyor?”
İlgili kişi, üyelik seviyesini yükseltmek istediğinde veri sorumlusunun kendisinden; kimliğinin ön ve arka yüzüyle birlikte, elinde kimliği ve günün tarihinin yazılı olduğu bir kağıdı tutarken çekilmiş fotoğrafını (selfie) talep ettiğini, bu durumun ölçülülük ilkesine aykırı olduğunu belirterek şikayetçi olmuştur.
Veri Sorumlusunun Savunması: MASAK ve Terörün Finansmanı
Kripto platformu, savunmasında özetle şunları belirtmiştir:
- Yasal Yükümlülük: 5549 sayılı Kanun ve MASAK düzenlemeleri uyarınca “Müşterinin Tanınması” (KYC) yükümlülüğü altındadırlar.
- Anonimlik Riski: Kripto para transferlerinin anonim yapısı, suç gelirlerinin aklanması riskini artırmaktadır.
- Sadece “Çekme” İşlemi İçin: Bu detaylı doğrulama herkes için değil, sadece anonim kripto para çekme işlemi yapmak isteyen “İleri Seviye” üyeler için zorunludur.
Kurulun Hukuki Değerlendirmesi
Kurul, çatışan menfaatleri (bireyin mahremiyeti vs. kamunun suçla mücadele menfaati) şu kriterlere göre değerlendirmiştir:
- Kanunlarda Açıkça Öngörülme: Kripto varlık hizmet sağlayıcıları, 5549 sayılı Kanun kapsamında “Yükümlü” sayılmıştır. Bu nedenle kimlik tespiti yapmaları yasal bir zorunluluktur.
- Kimlik Teyidi Zorunluluğu: MASAK rehberlerine göre, sadece kimlik bilgilerini almak yetmez; bu bilgilerin doğruluğunun teyit edilmesi gerekir. Uzaktan yapılan işlemlerde “canlılık testi” veya “kimlikli fotoğraf” bu teyidin bir parçasıdır.
- Hukuki Sebep: Veri işleme faaliyeti, KVKK Madde 5/2-a (Kanunlarda açıkça öngörülme) şartına dayanmaktadır.
Karar Sonucu
Kurul, kripto varlık platformunun talep ettiği verilerin, suç gelirlerinin aklanmasının önlenmesi ve müşterinin tanınması yükümlülükleri kapsamında ölçülü olduğuna ve kanuni dayanağının bulunduğuna karar vermiştir. Ayrıca, şikayetçinin verilerin silinmesi talebiyle ilgili olarak veri sorumlusuna usulüne uygun bir başvuru yapmadığı tespit edilmiştir.
Özgür Eralp Perspektifi: “Dijital Finans, Fiziksel Teyit Gerektirir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kripto dünyasındaki en büyük riskin “sahte hesaplar” üzerinden yürütülen yasa dışı faaliyetler olduğunu gördük. Kurul’un bu kararı, kripto para sektöründeki güvenlik standartlarının KVKK ile uyumlu olduğunu tescillemiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Kullanıcılar, “Neden bu kadar çok fotoğraf istiyorlar?” diye sorgulamakta haklı olsalar da; platformların MASAK denetimlerinde milyonluk cezalar almamak için bu doğrulamaları yapmaları şarttır. Ancak veri sorumluları, bu topladıkları “biyometrik benzeri” hassas fotoğrafları en yüksek güvenlik standartlarında şifreleyerek saklamalıdır. Kimlikli selfie’nizin sızması, standart bir veri ihlalinden çok daha ağır sonuçlar doğurabilir.
Sıkça Sorulan Sorular
1. Kripto borsasına kimlik fotoğrafı göndermek güvenli mi?
Hukuken bu platformlar verinizi almak zorundadır ancak teknik olarak bu verileri koruma yükümlülükleri (Madde 12) çok yüksektir. Lisanslı ve bilinen platformları tercih etmek riskinizi azaltır.
2. Üyeliğimi iptal edersem bu fotoğraflar hemen silinir mi?
Hayır. Suç gelirlerinin aklanmasıyla mücadele mevzuatı gereği, bu veriler genellikle ilişkisi kesildikten sonra en az 10 yıl boyunca (zamanaşımı ve denetimler için) saklanmak zorundadır.
3. “Özel nitelikli kişisel veri” kapsamında mı değerlendirilir?
Kimlik belgesindeki din veya kan grubu hanesi kapalı değilse evet. Ayrıca kişinin fotoğrafı genel veri olsa da, yüz tanıma teknolojisi ile işlenirse biyometrik veri (özel nitelikli) sınıfına girebilir.
4. Her borsa aynı belgeleri istemek zorunda mı?
MASAK mevzuatı asgari kriterleri belirler. Platformlar, risk analizlerine göre (işlem hacmi, yurt dışı aktarımı vb.) ek teyit yöntemleri (e-devlet doğrulaması, ikametgah belgesi vb.) talep edebilir.
5. Silme talebimi nereye iletmeliyim?
Öncelikle veri sorumlusunun KEP adresine veya sistemde kayıtlı e-postanız üzerinden, KVKK Tebliği’ne uygun bir dilekçe ile başvurmalısınız.
Kaynaklar
- KVKK Kurumu – 2023/570 Sayılı Karar Özeti
- 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun
- Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik
- MASAK Kripto Varlık Hizmet Sağlayıcıları Rehberi
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),